Tutti i certificati che vengono utilizzati per l'autenticazione per l'accesso alla rete con EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) e MS-CHAP v2 (PEAP-Microsoft Challenge Handshake Authentication Protocol version 2) devono soddisfare i requisiti per i certificati X.509 e supportare le connessioni che utilizzano SSL/TLS (Secure Socket Layer/Transport Level Security). Sia i certificati client che i certificati server, inoltre, devono soddisfare requisiti aggiuntivi.
Requisiti minimi dei certificati server
Con PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS come metodo di autenticazione, il server che esegue Server dei criteri di rete deve utilizzare un certificato server che soddisfi i requisiti minimi per i certificati server.
I computer client possono essere configurati per convalidare i certificati server utilizzando l'opzione Convalida certificato server nel computer client o in Criteri di gruppo.
Il computer client accetta il tentativo di autenticazione del server se il certificato server soddisfa i requisiti seguenti:
-
Il campo relativo al nome del soggetto deve contenere un valore. Se nel server che esegue Server dei criteri di rete si emette un certificato il cui soggetto è vuoto, tale certificato non sarà disponibile per l'autenticazione del server. Per configurare il modello di certificato con un nome del soggetto:
-
Aprire Modelli di certificato.
-
Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato che si desidera modificare e quindi scegliere Proprietà.
-
Fare clic sulla scheda Nome soggetto e quindi su Crea in base alle informazioni di Active Directory.
-
In Formato del nome soggetto selezionare un valore diverso da Nessuno.
-
Aprire Modelli di certificato.
-
Il certificato del computer nel server è concatenato a un'Autorità di certificazione radice attendibile e supera tutti i controlli eseguiti da CryptoAPI e specificati nei criteri di accesso remoto o nei criteri di rete.
-
Il certificato del computer per il server che esegue Server dei criteri di rete o per il server VPN è configurato con scopo Autenticazione server nelle estensioni di utilizzo chiavi avanzato (EKU). L'identificatore di oggetto per Autenticazione server è 1.3.6.1.5.5.7.3.1.
-
Il certificato server deve essere configurato con il valore algoritmo RSA. Per configurare l'impostazione di crittografia necessaria:
-
Aprire Modelli di certificato.
-
Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato che si desidera modificare e quindi scegliere Proprietà.
-
Fare clic sulla scheda Crittografia. In Nome algoritmo fare clic su RSA. Verificare che l'opzione Dimensioni minime chiave sia impostata su 2048.
-
Aprire Modelli di certificato.
-
L'estensione relativa al nome alternativo soggetto (SubjectAltName), se utilizzata, deve contenere il nome DNS del server. Per configurare il modello di certificato con il nome DNS (Domain Name System) del server di registrazione:
-
Aprire Modelli di certificato.
-
Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato che si desidera modificare e quindi scegliere Proprietà.
-
Fare clic sulla scheda Nome soggetto e quindi su Crea in base alle informazioni di Active Directory.
-
In Includere le seguenti informazioni nel nome soggetto alternativo selezionare Nome DNS.
-
Aprire Modelli di certificato.
Se i metodi di autenticazione sono PEAP ed EAP-TLS, nei server che eseguono Server dei criteri di rete viene visualizzato un elenco di tutti i certificati installati nell'archivio certificati del computer, ad eccezione dei certificati seguenti:
-
Certificati che non contengono lo scopo Autenticazione server nelle estensioni EKU.
-
Certificati che non contengono un nome del soggetto.
-
Certificati per l'accesso con smart card e basati sul Registro di sistema.
Requisiti minimi dei certificati client
Se il metodo di autenticazione utilizzato è EAP-TLS o PEAP-TLS, il server accetta il tentativo di autenticazione del client quando il certificato soddisfa i requisiti seguenti:
-
Il certificato client è rilasciato da un'autorità di certificazione dell'organizzazione (enterprise) o mappato a un account utente o computer di Servizi di dominio Active Directory®.
-
Il certificato utente o computer presente sul client è concatenato a una CA radice disponibile nell'elenco locale, include lo scopo Autenticazione client nelle estensioni EKU (l'identificatore di oggetto per tale scopo è 1.3.6.1.5.5.7.3.2) e supera sia i controlli eseguiti da CryptoAPI e specificati nel criterio di accesso remoto o nei criteri di rete che quelli per l'identificatore di oggetto relativo al certificato specificati nel criterio di accesso remoto IAS o nei criteri di rete del Server dei criteri di rete.
-
Il client 802.1X non utilizza certificati basati sul Registro di sistema per l'accesso con smart card o protetti da password.
-
Per i certificati utente, l'estensione relativa al nome alternativo soggetto (SubjectAltName) del certificato deve contenere il nome dell'entità utente (UPN, User Principal Name). Per configurare l'UPN in un modello di certificato:
-
Aprire Modelli di certificato.
-
Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato che si desidera modificare e quindi scegliere Proprietà.
-
Fare clic sulla scheda Nome soggetto e quindi su Crea in base alle informazioni di Active Directory.
-
In Includere le seguenti informazioni nel nome soggetto alternativo selezionare Nome entità utente (UPN).
-
Aprire Modelli di certificato.
-
Per i certificati computer, l'estensione relativa al nome alternativo soggetto (SubjectAltName) del certificato deve contenere il nome di dominio completo (FQDN, Fully Qualified Domain Name) del client, denominato anche nome DNS. Per configurare questo nome nel modello di certificato:
-
Aprire Modelli di certificato.
-
Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato che si desidera modificare e quindi scegliere Proprietà.
-
Fare clic sulla scheda Nome soggetto e quindi su Crea in base alle informazioni di Active Directory.
-
In Includere le seguenti informazioni nel nome soggetto alternativo selezionare Nome DNS.
-
Aprire Modelli di certificato.
Se i metodi di autenticazione utilizzati sono PEAP-TLS e EAP-TLS, nei client viene visualizzato un elenco di tutti i certificati installati nello snap-in Certificati, con le eccezioni seguenti:
-
Nei client wireless non vengono visualizzati i certificati per l'accesso con smart card e basati sul Registro di sistema.
-
Nei client wireless e VPN non vengono visualizzati i certificati protetti da password.
-
I certificati che non contengono lo scopo Autenticazione client nelle estensioni EKU non vengono visualizzati.